Talan, la fédération InfraNum, OVHcloud et Linkt ont rendu public ce jour un livre blanc consacré à la conjoncture et aux défis du marché européen du Cloud. Commandé à KPMG, ce livre blanc a été réalisé entre janvier et mars 2021. Il compile de multiples études de marché et s’appuie sur plus de 50 entretiens de dirigeants français et allemands de grandes et moyennes entreprises, ainsi qu’un sondage web soumis à près de 200 dirigeants d’entreprises françaises et allemandes. S’il relève plus du manifeste en faveur du Cloud européen que du livre blanc, ce document apporte un éclairage intéressant sur les défis et les enjeux du Cloud européen et notamment sur les questions de souveraineté des données.
KPMG note en préambule de son étude que le marché européen du Cloud est déjà un marché de taille significative, fortement attractif et avec un grand potentiel de croissance : de 53 Md€ en 2020, il devrait atteindre 560 Md€ d’ici à 2030 (comparable au marché actuel des télécommunications), avec une croissance moyenne annuelle dépassant les 25% (schéma 1).
Un marché qui se caractérise par la très forte domination des trois « hyperscalers » basés aux Etats-Unis (AWS, Microsoft et Google), qui contrôlent environ 70% du marché du IaaS. KPMG note qu’il existe de « très forts enjeux de création de valeur pour l’économie européenne » avec potentiellement 550.000 créations d’emplois et 200 milliards d’euros d’investissements sur la période 2021-2027 (schéma 2).
Néanmoins, KPMG pointe trois problématiques qui brident l’essor des prestataires de cloud européens et qui pourraient in fine limiter les retombées positives de cette forte croissance attendue du marché pour l’Europe. Si la résilience du service et la conformité réglementaire (dont la souveraineté des données) sont les deux critères de choix les plus importants dans la sélection d’un prestataire de cloud (devant la certification, la largeur de l’offre ou le coût), de nombreuses entreprises font l’impasse sur le critère de la souveraineté des données ou ralentissent, voire abandonnent leur migration vers le Cloud, faute d’offre jugée satisfaisante.
Un manque d’enthousiasme des clients que KPMG attribue plus à leur manque de connaissance des offres garantissant la souveraineté des données qu’à de réelles lacunes de la part des prestataires souverains. « Les acteurs européens offrent la plupart des services susceptibles de répondre aux besoins des entreprises », assure KPMG, qui souligne que l’essentiel de la dépense (les trois quart) est concentrée sur un nombre restreint de services (une quinzaine). KPMG observe que sur ces services essentiels, les acteurs européens offrent d’ores et déjà une couverture comparable à celle des hyperscalers, notamment grâce à leurs écosystèmes, et que leur portfolio s’étoffe rapidement.
Troisième facteur limitant pour prestataires européen, KPMG pointe les pratiques commerciales des hyperscalers, notamment leurs techniques d’acquisition de clients « souvent agressives et non conventionnelles » – KPMG dénonce notamment les gestes commerciaux excessivement généreux (mise à disposition gratuite de consultants, remises, bons d’achats, reprise gratuite des données…), les ventes liées ou groupées (services SaaS et IaaS)… – mais aussi « les conditions de sortie complexes, qui rendent difficile […] de passer d’un fournisseur à un autre ».
KPMG met toutefois en garde les entreprises européennes sur le fait que « d’un point de vue juridique et réglementaire, le marché du Cloud présente des risques élevés et une profonde incohérence entre les réglementations américaines et européennes ». Malgré plusieurs réglementations sur les flux de données mises en œuvre aux États-Unis et dans l’Union Européenne depuis 2016 (RGPD, US-EU Privacy Shield, Cloud Act), « l’invalidation du Privacy Shield par la Cour de justice de l’UE en 2020 a mis en évidence la profonde incompatibilité de la réglementation américaine avec les principes du RGPD », écrit KPMG.
« Les entreprises transférant des données à caractère personnel des Européens sur des serveurs d’entreprises non-européennes (même si ces serveurs sont localisés en Europe) n’ont plus de fondement juridique pour le faire et s’exposent à des risques juridiques, mais aussi industriels », poursuit KPMG. Des preuves hébergées dans les data centers d’un prestataire cloud non-conforme pourraient par exemple conduire à l’annulation d’un licenciement ou à l’impossibilité de prouver la réalité d’un vol de données de clients.
Cette « incompatibilité entre les règles du RGPD et les règles extraterritoriales américaines, […] qui font porter des risques juridiques et commerciaux aux entreprises européennes recourant à des fournisseurs cloud américains », ainsi que « les pratiques anticoncurrentielles et les fortes barrières commerciales à l’entrée » mis en place par ces derniers, « rendent le marché actuel du Cloud européen non pérenne dans sa forme actuelle », selon les auteurs du livre blanc. Et ceux-ci d’appeler à un nouveau paradigme.
Ils proposent à cet effet cinq scénarios. L’un est construit autour de l’idée d’une « interopérabilité volontariste entre services de cloud ». Un autre postule « la montée en puissance des fournisseurs européens sous-tendu par les besoins des marchés émergents encore sous-adressés et non préemptés ». Le troisième anticipe « une vague réglementaire (similaire à celle observée sur le marché des télécoms il y a quelques années), avec la mise en place d’un régulateur du marché cloud imposant des contraintes aux prestataires cloud ». Le quatrième entrevoit une « européanisation des fournisseurs de cloud, soit à travers l’européanisation de leurs opérations. Enfin, le cabinet d’expertise comptable dessine les contours d’une « séparation des activités cloud, soit fonctionnelle, soit structurelle… ».
« Les impacts économiques (valeur captée, emplois créés et investissements) pourraient varier considérablement en fonction du scénario, préviennent les auteurs : l’Europe pourrait perdre de 20 à 50% de l’impact économique attendu en cas d’activation insuffisante des différents leviers identifiés dans les cinq scénarios » (schéma 3).
Le document s’achève par une série de bonnes pratiques à destination des DSIs, CTOs et RSSIs pour une migration conforme et sécurisée afin d’atténuer les incertitudes.